El Sumario – Una campaña de correos electrónicos falsos que suplanta la identidad de Booking.com fue detectada recientemente por investigadores de seguridad. Los mensajes llaman la atención sobre supuestos problemas con reservas o reembolsos pendientes e incluyen enlaces maliciosos que conducen a una cadena de engaños, cuyo objetivo final es que la propia víctima instale un malware del tipo infostealer, diseñado para robar información sensible. La campaña fue analizada por el equipo de Securonix.
La técnica utilizada, conocida como ClickFix, refleja la evolución de la ingeniería social como vector de ataque. En lugar de explotar vulnerabilidades técnicas directamente, los atacantes manipulan al usuario para que ejecute por sí mismo comandos maliciosos en su sistema. Según el último ESET Threat Report durante el primer trimestre de 2025 esta técnica experimentó un crecimiento superior al 500 % en detecciones, posicionándose como el segundo vector de ataque más frecuente después del phishing.
El correo fraudulento utiliza la estética y el lenguaje de Booking.com, lo que lo hace difícil de distinguir de uno legítimo. Ante la urgencia de resolver un supuesto inconveniente con una reserva, el usuario hace clic en el enlace incluido en el mensaje, que lo redirige a un sitio web falso que imita a la plataforma original.
En el sitio apócrifo, el navegador muestra un mensaje falso indicando que la carga está demorando demasiado. Al presionar el botón de recarga, el navegador pasa a pantalla completa y muestra una falsa pantalla azul de Windows (BSOD), que simula un error crítico del sistema.
A diferencia de una BSOD real, esta pantalla incluye instrucciones para que el usuario ejecute comandos en PowerShell o en la ventana Ejecutar de Windows, con la excusa de solucionar el supuesto problema técnico. De este modo, la víctima termina infectando su propio equipo.
Al seguir las instrucciones, se despliega una cadena de acciones maliciosas, entre ellas la descarga de un proyecto .NET que se compila mediante MSBuild.exe, la instalación de un troyano de acceso remoto (DCRAT), la desactivación de defensas como Windows Defender y la obtención de persistencia y elevación de privilegios en el sistema.
Este malware permite control remoto del equipo, registro de pulsaciones de teclado, ejecución de comandos y descarga de cargas adicionales, como mineros de criptomonedas, facilitando el robo de información y la propagación lateral.
Bajo engaño “los cibercriminales ya no necesitan vulnerar el sistema directamente: les alcanza con convencer al usuario de que lo haga por ellos. Por eso, campañas como ClickFix muestran que la educación o formación y la atención o desconfianza preventiva frente a mensajes urgentes siguen siendo una de las principales barreras de protección.”, comenta y comparte Martina López, especialista en Seguridad Informática de ESET Latinoamérica.
A tomar muy en cuenta: Cómo prevenir este tipo de ataques
- Verificar siempre la autenticidad de los correos electrónicos.
- No ejecutar comandos desconocidos ni seguir instrucciones de supuestas pantallas de error.
- Capacitar al personal, especialmente en sectores donde la urgencia es habitual.
- Usar soluciones de seguridad confiables que detecten abuso de herramientas legítimas y bloqueen descargas no autorizadas.
- Educar sobre ingeniería social: entender que muchas amenazas actuales dependen más de manipular al usuario que de vulnerar software directamente.
ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/
Para obtener otros útiles datos preventivos está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).
El Sumario
Con información suministrada por ESET y Comstat Rowland
Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en X/Twitter e Instagram puedes conocer diariamente nuestros contenidos
